国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于Wi-Fi的WLAN應(yīng)用與安全探討

2012-08-22 02:58王春娟華東管道設(shè)計研究院江蘇徐州008中石化管道徐州管道技術(shù)作業(yè)分公司江蘇徐州008
科技視界 2012年26期
關(guān)鍵詞:有線局域網(wǎng)路由器

黃 全 王春娟(.華東管道設(shè)計研究院 江蘇 徐州 008;.中石化管道徐州管道技術(shù)作業(yè)分公司 江蘇 徐州 008)

WLAN(Wireless Local Area Networks)以紅外線、微波與激光等無線電波作為傳輸介質(zhì)通過無線通信的方式組建局域網(wǎng)為接入終端提供物理接口。WLAN具有安裝便捷、使用靈活、接入方便、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等特點。隨著WLAN的技術(shù)不斷更新,應(yīng)用范圍不斷擴(kuò)大,已經(jīng)逐漸在餐飲、賓館、休閑娛樂場所、機(jī)場、家庭等場所普及,并且在醫(yī)療、辦公場所、工業(yè)等領(lǐng)域發(fā)展。WLAN的安全已經(jīng)是在部署應(yīng)用中必須重視也是必須合理解決的問題。

1 基于Wi-Fi的WLAN技術(shù)標(biāo)準(zhǔn)

WLAN在其發(fā)展過程中,主要有IEEE802.11和HIPERLAN-2兩大標(biāo)準(zhǔn)體系。HIPERLAN-2標(biāo)準(zhǔn)基于連接的面向語音的蜂窩電話,IEEE802.11標(biāo)準(zhǔn)基于無連接的面向數(shù)據(jù)的計算機(jī)局域網(wǎng),Wi-Fi技術(shù)就是解決基于IEEE802.11標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)產(chǎn)品之間的互連互通。目前的WLAN基本上都采用IEEE802.11標(biāo)準(zhǔn)開發(fā)。

自1997年頒布IEEE802.11標(biāo)準(zhǔn)至今,先后推出了IEEE802.11b、IEEE802.11a、IEEE802.11g、IEEE802.11n 等 標(biāo)準(zhǔn),表1列舉了相應(yīng)的工作頻段、通信技術(shù)、數(shù)據(jù)最高速率、特點等。

表1 IEEE802.11系列標(biāo)準(zhǔn)對照表

2 WLAN的應(yīng)用

2.1 WLAN的連接類型

WLAN主要有Ad Hoc網(wǎng)絡(luò)和Infrastructure網(wǎng)絡(luò)兩種連接類型。Ad Hoc網(wǎng)絡(luò)是由點對點連接的一組無線終端組成的網(wǎng)絡(luò),不需要無線AP和有線網(wǎng)絡(luò)支持,直接通過無線網(wǎng)卡之間通信。Infrastructure網(wǎng)絡(luò)的無線終端通過無線AP或者無線路由器與有線網(wǎng)絡(luò)連接,通過AP實現(xiàn)無線終端的互訪和有線網(wǎng)絡(luò)資源的共享。

2.2 WLAN的設(shè)備

為了實現(xiàn)無線終端與有線網(wǎng)絡(luò)或者無線終端與無線終端的連接,需要無線網(wǎng)卡、無線AP、無線網(wǎng)橋、無線路由器、無線天線、WLC(無線局域網(wǎng)控制器)等無線設(shè)備。其中無線網(wǎng)卡有PCMCIA、PCI、USB和MINI-PCI等接口類型,負(fù)責(zé)將發(fā)送的數(shù)據(jù)按照IEEE802.11幀結(jié)構(gòu)封裝或者將接收到的數(shù)據(jù)進(jìn)行解幀,能夠與無線AP和無線路由器連接;無線AP就是無線終端的接入點,實現(xiàn)無線終端與有線網(wǎng)絡(luò)的連接;無線網(wǎng)橋就是無線交換機(jī),通過無線連接兩個或多個無線AP,中繼無線信號擴(kuò)展無線范圍;無線路由器是具有無線功能的路由器,具有無線AP和寬帶路由器的功能;WLC負(fù)責(zé)控制、配置、檢測接入點,具有認(rèn)證無線終端并、將無線終端與無線AP的關(guān)聯(lián)、在兩個無線終端間轉(zhuǎn)發(fā)數(shù)據(jù)幀等功能。

2.3 WLAN的應(yīng)用與拓?fù)?/h3>

2.3.1 WLAN在SOHO辦公或者家庭中應(yīng)用

在SOHO辦公和家庭環(huán)境中,連網(wǎng)的終端數(shù)量不多,并且大多是寬帶接入,WLAN的部署能夠使得聯(lián)網(wǎng)更便捷、具有移動性。一般網(wǎng)絡(luò)拓?fù)淙缦聢D1,Modem與進(jìn)戶的寬帶連接提供撥號接入互聯(lián)網(wǎng),無線路由器通過Modem獲取聯(lián)網(wǎng)權(quán)限同時為臺式計算機(jī)、筆記本、PDA/智能手機(jī)等Wi-Fi終端提供有線的或者無線的網(wǎng)絡(luò)連接。

圖1 SOHO/家庭WLAN拓?fù)鋱D

2.3.2 WLAN作為中小型局域網(wǎng)的擴(kuò)展

對于中小型局域網(wǎng)來說,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)邏輯關(guān)系明了,實施WLAN對現(xiàn)有布局能夠起到一定的擴(kuò)展,并且不會影響現(xiàn)有網(wǎng)絡(luò)的結(jié)構(gòu)。一般拓?fù)鋱D如下圖2。

圖2 中小型局域網(wǎng)中實施WLAN拓?fù)浣Y(jié)構(gòu)圖

在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上,在交換機(jī)端口上直接與無線路由器或者無線AP連接提供無線功能實施WLAN。一個無線AP或者無線路由器所覆蓋的WLAN范圍被稱之為BSS(基本服務(wù)集),多個BSS通過現(xiàn)有的局域網(wǎng)組成了ESS(擴(kuò)展服務(wù)集),無線終端可以在ESS中的多個BSS間漫游。通常情況下,部署的每一個無線AP是獨立自治的。

2.3.3 WLAN在大型網(wǎng)絡(luò)中的應(yīng)用

在大型網(wǎng)絡(luò)中,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,數(shù)據(jù)流量大,安全性要求高,實施WLAN時一般需要綜合考慮各方面因素,設(shè)計合理的WLAN布局。通常情況下在大型網(wǎng)絡(luò)中部署WLAN采用輕量級模型,網(wǎng)絡(luò)拓?fù)鋱D如下圖3。

圖3 大型網(wǎng)絡(luò)中部署WLAN網(wǎng)絡(luò)拓?fù)鋱D

輕量級WLAN模型是基于無線控制器的體系架構(gòu),主要由AP和WLC組成。一般情況下WLC部署在匯聚層,通過CAPWAP或者LWAPP隧道實現(xiàn)AP與WLC間通信,所有無線終端間的通信都經(jīng)過WLC。

2.3.4 WLAN作為建筑物間的連接

一般情況下在不同建筑物間的通信采用光纖、專線等方式連接,但是考慮到專線高昂成本以及無線的便易可操作性等因素,通常采用點對點的無線傳輸方式。一般情況下,根據(jù)兩建筑物間的位置、距離、中間障礙物等情況,選擇合理的天線和無線網(wǎng)橋,在11Mbp/s的速率下能傳輸至1.3km。

3 WLAN的安全技術(shù)

在Wi-Fi使用早期,WLAN是開放訪問的,只需要SSID認(rèn)證即可。隨著Wi-Fi技術(shù)的不斷發(fā)展,IEEE802.11體系中除了 SSID(服務(wù)集標(biāo)識符)、WEP(Wired Equivalent Privacy,有線等效保密)和MAC地址認(rèn)證基本安全外,增加諸如WPA(Wi-Fi Protected Access,Wi-Fi 受 保 護(hù) 接 入 )、WPA2、TKIP(臨時密鑰完整性協(xié)議)、AES(高級加密標(biāo)準(zhǔn))等安全技術(shù),確保鏈路安全和數(shù)據(jù)安全。

3.1 SSID認(rèn)證

SSID是部署WLAN的無線設(shè)備的通用網(wǎng)絡(luò)名,能夠防止任何沒有SSID無線終端的非法訪問。在無線終端與AP間接入的掃描階段,通過SSID匹配來尋找AP,如果SSID不符,將無法實現(xiàn)接入。

3.2 MAC地址認(rèn)證

MAC地址認(rèn)證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的認(rèn)證方法。MAC地址認(rèn)證只允許指定的MAC地址通過,過濾并攔截其余的MAC地址;或者只過濾攔截指定的MAC地址,允許其余的MAC地址通過。

3.3 WEP

WEP用來保護(hù)無線局域網(wǎng)中的授權(quán)用戶所交換的數(shù)據(jù)的機(jī)密性,防止這些數(shù)據(jù)被隨機(jī)竊聽,為用戶提供在有線網(wǎng)絡(luò)所使用的相同保密機(jī)制。WEP使用共享密鑰(靜態(tài)Key)來實現(xiàn)認(rèn)證,使用RC4對稱加密標(biāo)準(zhǔn)加密數(shù)據(jù)。WEP加密過程如下圖4,WEP解密剛好與其相反。

圖4 WEP加密過程圖解

由于RC4加密算法、過短的初始向量和靜態(tài)共享密鑰等限制,WEP還是存在比較大的安全隱患,并且不存在身份驗證機(jī)制。

3.4 WPA與WPA2

WPA是一種比WEP安全性更高方法,采用了48位的初始向量(IV)、128位的Key、基于RC4加密算法的TKIP、基于哈希算法的消息完整性校驗(MIC)和動態(tài)Key管理等機(jī)制,支持PSK(預(yù)共享密匙)和802.1X兩種認(rèn)證方式。WPA2是WPA的第二個版本,采用基于AES加密算法的CCMP機(jī)制。WPA和WPA2不僅實現(xiàn)了鏈路的認(rèn)證安全還保證了數(shù)據(jù)的機(jī)密性和完整性。

3.5 WAPI

WAPI(WLAN Authentication and Privacy Infrastructure,無線網(wǎng)絡(luò)認(rèn)證保密基礎(chǔ)設(shè)施)采用國家密碼管理委員會辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和對成密鑰體制的分組密碼算法,實現(xiàn)了設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。

4 WLAN的安全風(fēng)險分析

無線終端與AP的接入需要經(jīng)歷無線站點掃描、接入認(rèn)證和關(guān)聯(lián)三個階段,之后才是傳輸數(shù)據(jù)幀。在掃描、認(rèn)證、關(guān)聯(lián)和傳輸?shù)雀鱾€環(huán)節(jié)都存在著安全風(fēng)險,主要有無線搜索、竊聽、未授權(quán)訪問端和拒絕服務(wù)等幾種。

4.1 無線搜索

黑客利用便利的交通和無線搜索工具并借助GPS能夠快速的標(biāo)記所經(jīng)過區(qū)域的無線AP的地理位置,甚至在關(guān)閉SSID廣播的情況下獲取到該AP的SSID、速率、默認(rèn)配置等信息。

4.2 竊聽

竊聽是任何一個局域網(wǎng)的安全威脅。當(dāng)竊聽者搜索到AP并破解了WEP密碼進(jìn)入WLAN,那么就能隨意抓取該WLAN中的數(shù)據(jù)包,并對其分析出敏感信息。

4.3 未授權(quán)訪問端

一個未授權(quán)訪問端是一個到公司網(wǎng)絡(luò)的未授權(quán)連接。一個未授權(quán)的AP可能會被攻擊者安裝,當(dāng)攻擊者所攻擊的目標(biāo)嘗試連接該AP時,就會發(fā)生訪問端欺騙,攻擊者就可以試圖獲取用戶名和密碼或者輕松地監(jiān)視流量以及網(wǎng)絡(luò)中的其他主機(jī)。

4.4 拒絕服務(wù)

盡管DoS攻擊并不能讓攻擊者達(dá)到訪問目的,但它卻能造成WLAN的服務(wù)中止,破壞合法用戶的服務(wù)使用或者癱瘓網(wǎng)絡(luò)。WLAN常見的DoS攻擊有驗證泛濫攻擊、解除認(rèn)證泛濫攻擊、網(wǎng)絡(luò)干擾攻擊、設(shè)備毀壞攻擊等形式,破壞服務(wù)器、無線終端、AP甚至整個WLAN。

5 WLAN安全部署

隨著WLAN的安全越來越被關(guān)注,技術(shù)手段也越來越多。一般無線設(shè)備都支持鏈路認(rèn)證、接入認(rèn)證和數(shù)據(jù)加密等。當(dāng)前802.11的鏈路認(rèn)證支持不安全的OSA(開放系統(tǒng)認(rèn)證)和Shared-Key(共享密鑰)兩種認(rèn)證方式,用戶接入認(rèn)證有MAC地址認(rèn)證、PSK認(rèn)證、802.1X認(rèn)證等三種方式,數(shù)據(jù)安全有WEP、TKIP、CCMP三種加密機(jī)制。當(dāng)時不同的場合不同的需求采用不同的安全策略。

5.1 酒店、咖啡廳等休閑場所

一般情況下,酒店、咖啡廳等休閑場所部署WLAN就是免費地提供Internet,方便客戶聯(lián)網(wǎng),因此在設(shè)置無線AP時應(yīng)采取SSID廣播、OSA和WEP認(rèn)證機(jī)制。

5.2 SOHO和家庭用戶

如圖1所示,SOHO和家庭用戶采用無線路由器與Modem連接,實現(xiàn)多用戶多種方式的聯(lián)網(wǎng)。既要保證終端的互聯(lián)互通又要保證通信的相對安全,一般情況下終端比較固定,可以采取MAC地址過濾和WPA-PSK認(rèn)證機(jī)制。

5.3 中小型局域網(wǎng)

如圖2所示,中小型局域網(wǎng)中實施WLAN是作為有線網(wǎng)絡(luò)的擴(kuò)展,在安全性要求不高和可操作性強(qiáng)的情況下,一般采取隱藏SSID、AES加密和WPA2-PSK認(rèn)證機(jī)制,根據(jù)情況可作MAC地址過濾、IP限制等策略。

5.4 大型局域網(wǎng)絡(luò)

如圖3所示,部署WLAN的無線設(shè)備較多,受WLC的管理與配置,并且無線終端多、使用頻繁,為了保證網(wǎng)絡(luò)的安全平穩(wěn)運行,一般在核心交換層部署Radius服務(wù)器,采取802.1X認(rèn)證、WPA2安全機(jī)制和AES數(shù)據(jù)加密的策略,甚至可以采取VLAN的方式邏輯隔離達(dá)到更安全的保障。

6 總結(jié)

WLAN既方便又靈活,可在酒店、機(jī)場、咖啡廳、家庭使用,更可大中小型局域網(wǎng)中部署。隨著電子商務(wù)與網(wǎng)絡(luò)銀行等電子支付的活躍,WLAN的安全是必須受到重視,只有合理采取WLAN安全策略才能保證WLAN的經(jīng)濟(jì)便捷與安全。

[1][美]奧萊特(Quellet,E.),等.構(gòu)建 Cisco 無線局域網(wǎng)[M].張穎,等,譯.北京:科學(xué)出版社,2003,6.

[2]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2004,7.

[3]黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計師教程[M].北京:清華大學(xué)出版社,2009,6.

[4][美]拉默爾(Lammle,T.L.).CCNA 學(xué)習(xí)指南:中文(640-802)[M].6版.程代偉,等,譯.北京:電子工業(yè)出版社,2008,2.

[5][美]理查德(Richard,F(xiàn).),[美]巴拉基(Balaji,S.),[美]艾然(Erum,F(xiàn).).CCNP SWITCH(642-813)學(xué)習(xí)指南[M].田果,劉丹寧,譯.北京:人民郵電出版社,2011,2.

[6][美]冉杰貝(Amir,R.).CCNP TSHOOT(642-832)學(xué)習(xí)指南[M].夏俊杰,譯.北京:人民郵電出版社,2010,11.

猜你喜歡
有線局域網(wǎng)路由器
買千兆路由器看接口參數(shù)
路由器每天都要關(guān)
軌道交通車-地通信無線局域網(wǎng)技術(shù)應(yīng)用
基于VPN的機(jī)房局域網(wǎng)遠(yuǎn)程控制系統(tǒng)
通信工程中有線傳輸技術(shù)的改進(jìn)分析
無線路由器的保養(yǎng)方法
基于802.1Q協(xié)議的虛擬局域網(wǎng)技術(shù)研究與實現(xiàn)
東方有線點播排行榜
局域網(wǎng)性能的優(yōu)化
通信工程中有線傳輸技術(shù)的改進(jìn)研究
临朐县| 乡宁县| 浪卡子县| 梅河口市| 丹东市| 安平县| 潢川县| 沙湾县| 越西县| 同江市| 巴东县| 华池县| 化德县| 巢湖市| 宝丰县| 惠东县| 紫阳县| 普兰店市| 广东省| 亚东县| 天水市| 奇台县| 普格县| 遂溪县| 高唐县| 蒙城县| 东城区| 武陟县| 东宁县| 岐山县| 阿拉善右旗| 定州市| 隆回县| 绥化市| 丘北县| 潞城市| 商城县| 泾阳县| 宁陕县| 乌鲁木齐市| 全南县|